На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-8-7 на главную / новости от 2002-8-7
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 7 августа 2002 г.

Ошибка затрагивает Windows, Mac и Linux

Эксперты предупреждают об ошибке в коммуникационном ПО, которая позволяет атакующим получить контроль над компьютерами с операционными системами Windows, Unix и Mac OS X, а также системами аутентификации Kerberos.

Проблема затрагивает многих, так как связана с некоторыми реализациями библиотек XDR (external data representation), используемых во многих программах для передачи данных между процессами системы, независимо от ее архитектуры. Эти библиотеки пришли из технологии дистанционного вызова процедур SunRPC компании Sun Microsystems, которую взяли на вооружение многие производители.

Во вторник организация Computer Emergency Response Team (CERT), секьюрити-сеть, базирующаяся в Карнеги-Меллонском университете, предупредила, что на системы, использующие проблемный код, необходимо немедленно установить патчи или запретить затрагиваемые багом сервисы.

По словам представителей CERT, одна из функций библиотеки Sun XDR допускает переполнение целой переменной, что может привести к переполнению буфера. Это позволяет атакующему взломать систему, выполнить злоумышленный код или украсть конфиденциальную информацию. Проблема затрагивает также систему администрирования Kerberos 5, широко применяемый инструмент аутентификации, что позволяет атакующим получить контроль над функциями аутентификации Kerberos Key Distribution Center. В результате злоумышленник может быть ложно аутентифицирован другими сервисами. Kerberos входит в состав Windows 2000.

Команда разработчиков MIT Kerberos опубликовала на своем веб-сайте предупреждение об ошибке и патч.

Компания Apple Computer подтвердила, что ее операционная система Mac OS X имеет уязвимость, которая устраняется недавно выпущенным секьюрити-апдейтом, доступным через механизм автоматической загрузки. Ряд производителей Unix и Unix-подобных операционных систем, включая Red Hat, Debian, FreeBSD, Sun и NetBSD, подтвердили, что проблема затрагивает их ПО, и выпустили поправки. В HP сказали, что компания исследует возможные последствия. Microsoft также исследует влияние проблемы на Windows.

Относящиеся к данной ошибке патчи можно взять на веб-сайтах компаний или через рекомендации CERT на веб-сайте организации

 Предыдущие публикации:
2002-07-12   Дефект позволяет хакерам взломать замок для Outlook
2002-07-31   Microsoft выпускает поправки к Windows 2000
 В продолжение темы:
2002-08-11   «Дефект» Windows API вызвал дебаты о надежности защиты
2002-11-21   Баг в ПО Microsoft затрагивает миллионы компьютеров
Обсуждение и комментарии
Anti-MS
7 Aug 2002 6:25 PM
Мы уже запатчились а MS будет исследовать, исследовать и еще раз исследовать пока все просто не забудут про этот баг. Так же как случилось с zlib.
 

Alex
7 Aug 2002 9:43 PM
Проснулись... На сайте Debian эта инфа появилась еще 5-го числа http://www.debian.org/security/2002/dsa-143 вместе с патчем ....
 

Chkaloff
8 Aug 2002 3:16 PM
2 Anti-MS:
У MS собственная реализация керберос, и еще не факт, что эта дыра там вообще присутствует, так что прежде чем латать, ее (если она вообще там есть) нужно там найти.
 

Anti-MS
8 Aug 2002 5:24 PM
2Chkaloff
Как же как же. А что это МС так долго ищет? Или не знает что там понаписано в куче продуктов? Действительно выискать что там понаписано во всех продуктах теперь проблематично. Ладно в винде а в других продуктах как апдейтиться? Это же вам не линух где либу одну заапдейтил и вперед ;)

А zlib у МС тоже была собственная реализация? В куче продуктов использовано и так с успехом и забыто?
Да ладно там подумаешь какой-то злиб, если они полгода фиксили локальный эксплоит (тот который DePloit или как там его), то чего тут говорить о каких-то багах в zlib и в kerberos, вот как начнут рутить все подряд, то глядишь через пол года будет патч. А если не начнут рутить так и вообще нет проблемы, не порученный - не баг.
 

glassy
9 Aug 2002 2:02 AM
вот так и знал, что в rpc дыра есть
 

Anti-Anti
9 Aug 2002 8:15 PM
У людей, которые не "за что-то", а против "чего-то", всегда одни и те же доводы. У тебя дома все чисто? Нигде нет грязи? Может, надо поискать? Где-нибудь за унитазом, а? Какой-нибудь там zlib-чик незапатченный не завалялся? А свои трубы канализационные давно прочищал? Посмотри, там СТОЛЬКО ГРЯЗИ!!! А еще можно под микроскопом взглянуть на обивку мебели. Там этих клещей ЗАВАЛИСЬ!!! Они опасные, между прочим. Баги, практически. Перед тем как ругать кого-то за что-то (MS, там или, например, IBM или АвтоВАЗ), сделайте хоть что-нибудь подобное. Сможешь? С нуля все это поднять. Попробуй. Уважать надо чужую работу, а не наезжать через inet, когда тебя никто достать не может. В MS, между прочим, работают умные ребята. Некоторых я знаю лично. Один из них (парень с Физтеха, золотые мозги) работает как раз в группе, которая занимается Керберосом и вообще шифрованием в Windows. И он там не самый умный - там работают профи со всего мира. И это не только в MS, а во многих больших и преуспевающих компаниях, в Sun, например. И еще. Работая против MS, ты работаешь на их конкурентов. На Sun, например, или на AOL. Ты уменьшаешь доход одних акционеров, помогая зарабатывать больше другим. Менеджмент обоих компаний занимается только одним - обеспечением максимального дохода для своих акционеров. Это то, почему акционеры их назначили руководить этими компаниями. А все остальное: публичный имидж и все такое, это PR. Способ завладеть умами тех, кто нужен для того, чтобы акционеры больше заработали. И ты попался на этот PR по полной программе. Тебя используют, а ты отлично на них работаешь. Но при этом тебе никто никогда за это не заплатит. Тебе не обидно? :)
 

Anti-MS
10 Aug 2002 7:59 PM
2Mini-Me ;)
Нет мне не обидно у меня нет комплексов ;)

А продукты МС мне не нравятся ни эстетически, ни практически, ни идиологически.

PS Тебе не обидно что у Билли 51 миллиард а ты возишь мышью по винде? ;)
 

 

← июль 2002 3  4  5  6  7  8  9  10  11 сентябрь 2002 →
Реклама!
 

 

Место для Вашей рекламы!